06/08/2018

31. juulist kuni 2. augustini toimus Nelijärve puhkekeskuses Eesti Noorteühenduste Liidu Suvekool. Selle aasta suvekoolis käis muuhulgas noorteühendustele rääkimas Andmekaitse Inspektsioonist Liisa Ojaku sellest, mida tähendab 25. mail kehtestatud andmekaitse üldmäärus noorteühendustele ning kuidas peaks toimima, et seadusele mitte vastu minna.

Andmetega toimides peaks kinni hoidma kahest põhimõttest: töötle minimaalselt ning lähtu eesmärgist. Enne kui andmeid küsid mõtle läbi: mida sa nende andmetega teed ja mis andmeid sul läheb vaja, et seda tegevust teha. Iga erineva eesmärgi jaoks peab olema eraldi nõusolek andmete omanikult, näiteks noorelt, osalejalt või esinejalt. Kui sa soovid andmeid vajad sa tõestatavad nõusolekut andmete andjalt.

Isiku andmed on inimese enda omad ning tal on neid õigus omada ja jagada enda äranägemise järgi. Samuti saab andmete omanik nõuda teada saada iga kell kuidas tema andmeid kasutatakse, mis andmeid temast eksisteerivad või nõuda nende andmete kohest kustutamist. Samuti võib andmete omanik nõuda, et kõik tema kohta eksisteerivad andmed kantakse teisse asutusse üle. Kui inimene soovib enda andmetega tutvuda tuleb talle need võimaldada 5 päeva jooksul. Kõike seda tuleb teha minimaalse viivitusega.

Nõusoleku andmete kogumiseks on võimalik saada vaid siis kui sul on alus. Kolm tähtsamat alust noorteühendustele ja osaluskogudele on:

• Seadusest tulenev alus, ehk kui sa kogud või töötled andmeid kuna seadus nõuab seda selle tegevuse jaoks;
• Lepingust tulenev alus, ehk kui teine osapool on andnud enda lepingulise nõusoleku;
• Õigustatud huvi – Eestis siiani mitte kasutatud praktika, mille põhjal on andmete töötlemine lubatud kui töötleja suudab selle vajalikkust põhjendada ning see pole andmete omajale kahjulik. Selle õigustuse juures puudub eelnev praktika Eestis.

Kui töötled rohkema kui 5000 inimese delikaatseid andmeid (poliitilisi, rassilisi, usulisi või filosoofilisi vaateid, tervise või seksuaalse orjetatsiooniga seotud andmeid) peab asutus omama ka andmekaitsespetsialisti.

Kaks uut dokumenti, millele tuleks silma peal hoida on mõjuhinnangu koostamine ja töötlemise toimikute registrid. Mõjuhinnang tuleks koostada vaid siis kui võtad kasutusele uued tehnoloogiad. Mõjuhinnangus peaksid olema kirjas asjad nagu turvariskid, nende maandamine ja mis andmeid töödeldakse. Töötlemise toimikute registrid on ülevaatlikud dokumendid, mis annavad aimu kuidas andmetöötlus organistatsioonis toimib. Seal on kirjas mis andmed on organisatsioonis või projektis, kus nad on, kaua nad seal on, kes vastutab nende eest, mis turvameetmed on kasutusel, kuidas andmetega saab tutvuda ning mille jaoks andmed seal on. Neid tuleb vaid muuta siis kui midagi muutub nende asjade juures.

Kuigi muudatused võivad olla paljude jaoks ootamatud ning veidi hirmutavad ei ole põhjust karta. Andmekaitse Inspektsioon on alati valmis nõustama ning isegi kui eksid andmekaitse seaduste vastu hoiatavad ja nõustavad sind ning karistavad vaid siis kui sa neid kuulda ei võta.

Madis Uljam Teuli
ENLi meediatiimi vabatahtlik